論壇文章
要使企業資安禁得起挑戰 應用軟體安全測試
下一篇 - 快速成功的導入知識管理系統 一個月即可輕鬆完成

要使企業資安禁得起挑戰 應用軟體安全測試

撰文 | 叡揚資訊 執行長特助 陳熙灝 博士

網路安全不代表資料一定安全

近年來由於SOA、Ajax和其他Web 2.0技術不斷的進步,使得Web的應用更神勇也更複雜,但因其複雜度的增加,進而也使得資訊安全面臨更多的威脅。根據美隆大學電腦緊急應變小組(Carnegie Mellon University’s Computer Emergency Response Team)的統計分析指出,在1995至2006年資安事件每年正以42%在增加(如圖一),然而實際發生事件並不止於此,可能因許多未被收集列入而不只這數字。
對於資訊安全的維護,我們常以為把網路安全做好就沒問題,而當我們的網路變得更加安全,應用軟體就成為網路世界的新邊界,駭客攻擊的重點就更多轉向應用軟體的弱點以竊取私密資料而造成業主更多的損失,今天駭客攻擊應用軟體的衝擊,幾乎涵蓋社會各行各業,包括政府機關、財務、醫療保健、電信、教育、勞工甚至零售業。

應用軟體是駭客攻擊的重心

美國知名調查機構Gartner的Joseph Feiman指出,很多機關或企業資訊部門的經理人員和開發應用系統的負責人,經常錯誤認為防火牆、偵防系統(Intrusion Detection System,IDSs),以及網路流量工具就足夠確保應用系統的安全。然而,大部份的駭客也都已經知道這種情況,所以將他們的重心專注於應用軟體,有許多資料顯示出這種改變。NIST的調查報告指出,有92%的攻擊是在軟體,Gartner的報告則指出,75%的資料外洩是由於軟體的安全缺陷,而根據美國空軍所提出的報告中更明白指出,在2004年到2006年,他們的軟體遭受攻擊已經由2%增加到36%。資訊週刊(Information Week)於2007年7月在Black Hat的安全會議上也提到,2005年到2006年駭客攻擊已經上升到81%。從2005年到2006年美國企業已有超過十億筆的資料被竊取,而其中有65%是由於軟體缺陷所造成;根據專家統計結果發現,有31%發生在政府及軍方部門、30%發生在教育單位、19%發生在一般企業、11%發生在健康醫療、9%發生在財務機構。

資料外洩常造成企業的損失

隨著許多機構相繼發生資料外洩的問題,真正資料外洩的損失也受重視而加以精確衡量。由於各行業損失的情況不同,每筆被竊資料的損失也由數塊美金到400美金不等。圖二顯示出在不同結構企業間資料外洩所造成的損失,這些公司之前發生過一連串客戶資料損失的案件,數據也顯示出企業在發生這些事件後,公司的股票會下跌一些,平均來說,資料外洩會使股票馬上下跌1%,也會使他比市場上其他公司表現稍差,有時候則造成更嚴重更長期的問題。

應用軟體的安全措施

企業可在軟體開發生命週期時就引進常態安全程序以避免資料外洩,除了要雇用適當技術能力的人員外,在一些作業程序上也要配合適度的改變,設計正確處理流程及組織運作策略,以具備防備知識的常態水準、風險評估以及最好的實務分享機制。這些技術及知識近年來已經被學術機構的研究人員以及產業專家開發出來,用以增加對抗不定時威脅應用軟體的能力,而這些成果主要在三個關鍵技術領域:
原始程式碼分析(Source Code Analysis):評估尚未執行程式碼的安全性。
安全性測試(Security Testing):一種模仿駭客行為的連續動態測試。
執行時的應用防禦(Run-time Application Defense):辨識攻擊企圖和欺騙行為的防衛佈署。
這三個關鍵技術在軟體開發生命週期正確的安全防衛並無法單獨存在,而是要這三項關鍵技術同時結合去進行才算完備。原始程式碼分析是對應用安全問題最全面適當的解答,針對應用軟體它有能力百分之百去分析每個可能的資料途徑,可以跟著去找出並幫助復原上百種駭客入侵弱點,它比任何其他安全軟體解決的安全問題還多,原始程式碼分析於2005年已經被廣泛使用至今。
傳統安全測試可以分為兩種:一般性測試(Ethical Hacking)和模仿駭客行為的自動化執行工具(Running automated tools to simulate a hacker’s actions)。前者必須雇用專家或是先前的駭客去刻意的入侵系統,後者則是由企業內部稍具安全技術的QA小組人員合作進行,盡可能測試許多種高風險應用。執行時的應用防禦包括闖入偵防系統(Intrusion Detection and Prevention Systems)、應用防火牆以及最近發展出來的應用安全平台。

網路銀行需要嚴密的安全措施

將經常業務移到網路上作業是企業主動爭取客戶的手段,在銀行界更是需要,在2006年美國網路銀行業務已經成長到四千四百萬個消費者,且名列前十名網路銀行消費者的成長仍然超過整體網際網路人口的成長。駭客攻擊目標的選擇,從經濟角度必定選擇容易且獲利多的目標,從傳統歷史上搶案發生最多的地方是銀行,我們就可知道駭客首要選擇目標在哪裡。根據Ponemon學院在2006年所做的研究結果顯示,當銀行發生一次資料外洩時會有34%的顧客會選擇離開,更有45%的顧客在銀行二次發生資料外洩時會抽離,這數據告訴我們網路銀行需要有嚴密的安全防護措施。